維護 OT 網路感應器上的威脅情報套件
Microsoft 安全性小組持續執行專屬的 ICS 威脅情報和弱點研究。 安全性研究提供 Microsoft 雲端基礎結構和服務、傳統產品和裝置,以及內部公司資源的安全性偵測、分析和回應。
適用於 IoT 的 Microsoft Defender 會定期提供 OT 網路感應器的威脅情報套件更新、加強防護已知和相關威脅,並提供深入解析以協助小組分級警示並排定優先順序。
威脅情報套件包含簽章 (例如惡意程式碼簽章)、CVE 和其他安全性內容。
顯示的 CVE 分數遵循國家弱點資料庫 (NVD) 的規範,且會顯示 CVSS v3 分數 (如果相關)。 如果沒有相關的 CVSS v3 分數,則會改為顯示 CVSS v2 分數。
提示
建議您確定 OT 網路感應器一律已安裝最新的威脅情報套件,這樣一來,您就一定會在環境受到影響之前先行取得威脅的完整內容,以及增加的相關性、精確度和可操作的建議。
如需新套件的公告,請前往我們的 TechCommunity 部落格。
權限
若要執行本文中的程序,請確定您具備下列條件:
一或多個 OT 感應器已上線至 Azure。
Azure 入口網站的相關權限,以及您要更新的任何 OT 網路感應器或內部部署管理主控台的相關權限。
如需詳細資訊,請參閱適用於 IoT 的 Defender 的 Azure 使用者角色和權限和使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
檢視最新的威脅情報套件
若要檢視適用於 IoT 的 Defender 的最新可用套件:
在 Azure 入口網站中,選取 [網站與感應器]>[威脅情報更新 (預覽)]>[本機更新]。 [感應器 TI 更新] 窗格會顯示最新的可用套件相關詳細資料。 例如:
更新威脅情報套件
使用下列任一方法,更新 OT 感應器上的威脅情報套件:
- 發行更新時,系統會將更新自動發送至雲端連線的 OT 感應器。
- 將更新手動推送至雲端連線的 OT 感應器。
- 下載更新套件並將它手動上傳至 OT 感應器。 或者,將套件上傳至內部部署管理主控台,然後從管理主控台將更新推送至任何連線的 OT 感應器。
將更新自動推送至雲端連線的感應器
適用於 IoT 的 Defender 發行更新時,系統會自動更新雲端連線感應器的威脅情報套件。
將雲端連線感應器上線並啟用 [自動威脅情報更新] 選項,以確保自動套件更新。 如需詳細資訊,請參閱將 OT 感應器上線至適用於 IoT 的 Defender。
若要在上線 OT 感應器後變更更新模式:
- 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器],然後找出您要變更的感應器。
- 針對選取的 OT 感應器,選取選項 (...) 功能表 >[編輯]。
- 必要時,開啟或關閉 [自動威脅情報更新] 選項。
將更新手動推送至雲端連線的感應器
您可以使用威脅情報套件自動更新雲端連線的感應器。 不過,如果您想要採用更保守的方法,您可以只在覺得需要時,將套件從適用於 IoT 的 Defender 推送至感應器。 手動推送更新讓您可以在安裝套件時就能夠使用控制項,而不需要下載後上傳到感應器。
若要將更新手動推送至單一 OT 感應器:
- 在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器],然後找出您要更新的 OT 感應器。
- 針對選取的感應器,選取選項 (...) 功能表,然後選取 [推送威脅情報更新]。
[威脅情報更新狀態] 欄位會顯示更新進度。
若要將更新手動推送至多個 OT 感應器:
[威脅情報更新狀態] 欄位會顯示每個選定感應器的更新進度。
手動更新本機管理的感應器
如果您要使用本機管理的 OT 感應器,必須下載更新的威脅情報套件,然後手動上傳至感應器。
如果您還使用了內部部署管理主控台,建議您將威脅情報套件上傳至內部部署管理主控台後,從主控台推送更新。
提示
如果您不想從 Azure 入口網站推送更新,也可以將此選項用於雲端連線的感應器。
若要下載威脅情報套件:
在 Azure 入口網站的適用於 IoT 的 Defender 中,選取 [網站與感應器]>[威脅情報更新 (預覽)]>[本機更新]。
在 [感應器 TI 更新] 窗格中,選取 [下載],以下載最新的威脅情報檔案。
從 Azure 入口網站下載的所有檔案都會以信任的根目錄簽署,讓您的機器只使用已簽署的資產。
若要更新單一感應器:
若要同時更新多個感應器:
登入內部部署管理主控台,然後選取 [系統設定]。
在 [感應器引擎設定] 區域中,選取要接收更新套件的感應器。 例如:
在 [感應器威脅情報資料] 區段中,選取加號 (+)。
在 [上傳檔案] 對話方塊中,選取 [瀏覽檔案...] 以瀏覽並選取更新套件。 例如:
選取 [關閉],然後選取 [儲存變更],將威脅情報更新推送至所有選取的感應器。
檢閱威脅情報更新狀態
在每個 OT 感應器上,威脅情報更新狀態和版本資訊會顯示在感應器的 [系統設定]>[威脅情報] 設定中。
對於雲端連線的 OT 感應器,威脅情報資料也會顯示在 [網站與感應器] 頁面中。 若要從 Azure 入口網站檢視威脅情報狀態:
找出您要檢查威脅情報狀態的 OT 感應器。
請注意 OT 感應器的下列資料行值:
資料行名稱 描述 威脅情報版本 版本命名是以適用於 IoT 的 Defender 所建置套件的日期為基礎。 威脅情報模式 自動表示新可用的套件會在適用於 IoT 的 Defender 發行時自動安裝在感應器上。
手動表示您可以視需要將新可用的套件直接推送至感應器。威脅情報更新狀態 顯示下列其中一個狀態:
- 失敗
- 進行中
- 可用的更新
- 確定
提示
如果雲端連線的 OT 感應器顯示威脅情報更新失敗,建議您檢查感應器連線詳細資料。 在 [網站與感應器] 頁面上,檢查 [感應器狀態] 和 [上次連線時間 (UTC)] 資料行。
下一步
如需詳細資訊,請參閱